← Segurança

Site hackeado por b.o.f.a.i.s.a.l

Lida 13235 vezes

Offline

epsy 
Membro
Mensagens 553 Gostos 1
Feedback +1

Troféus totais: 25
Trófeus: (Ver todos)
Search Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1

Então o que aconteceu foi o seguinte:

Na BD, há uma tabela de categorias,  a que foi acrescentada uma linha com este código:
Código: (html4strict) [Seleccione]
<head><link href=http://www.grupomundo.com.uy/archivos/css2.css type=text/css rel=stylesheet>;--</head>
Agora vou ter que descobrir se a segurança da base de dados foi comprometida ou se se trata "apenas" de uma "SQL injection" feita através da página que no backoffice permite adicionar categorias.



Offline

cjseven 
Administrador
Mensagens 1809 Gostos 26
Feedback +3

Troféus totais: 28
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 1000 Posts

No inicio desta semana tb sofri um ataque por um grupo de albaneses.

Entraram-me numa conta num site WP e carregaram uma pasta com uns scripts. Depois trataram de começar a fazer defacement a outras contas.

Felizmente descobr na hora e consegui logo responder ao ataque.

No meu caso acho que o buraco estava numa extensão activa do php "allow_url_include". Quando a activei fiquei com receio mas pensei que passava. Não passou! :D

Pelo menos os ataques pararam e não voltaram a insistir.

Nestes casos não recomendo nada entrar em contacto, pois a conversa pode azedar e ser pior a emenda do que o soneto.

O melhor é tentar resolver a situação e sair de cena rapidamente sem provocar ou irritar o/s artista/s. Não sabemos se é um scriptie kid ou se alguém com mais bagagem...
Offline

epsy 
Membro
Mensagens 553 Gostos 1
Feedback +1

Troféus totais: 25
Trófeus: (Ver todos)
Search Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1



Nestes casos não recomendo nada entrar em contacto, pois a conversa pode azedar e ser pior a emenda do que o soneto.

O melhor é tentar resolver a situação e sair de cena rapidamente sem provocar ou irritar o/s artista/s. Não sabemos se é um scriptie kid ou se alguém com mais bagagem...

Exactamente, tambem sou dessa opinião. Não vou dar confiança nem entrar no jogo deles.

Offline

Tiago 
Membro
Mensagens 209 Gostos 0
Troféus totais: 25
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts

A minha recomendação passa por contactar a empresa que te fornece o alojamento, pede os Logs do Apache e do FTP, com isto consegues perceber entradas anormais.

No caso de um SQL Injection, falta com a tua empresa de alojamento pois poderá ser possível melhorar a segurança com regras no mod_security.

Não vale apena contactar as criaturas... identifica e resolve o problema :)
Offline

douroweb 
Membro
Mensagens 8 Gostos 0
Troféus totais: 15
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 First Post Karma Seventh year Anniversary Sixth year Anniversary

ola,
Talvez tenha usado o SQL Injection para extrair informação de uma base de dados.


SQL Injection possibilita extrair os utilizadores das base de dados, informações das tabelas e colunas completas.

Isto só acontece se o site estiver vulnerável na escrita!

posso disponibilizar um dos software que esses chamados haker utilizam!

pm :?: :grin:

cumprimentos

Offline

Bruno Mota 
Membro
Mensagens 1733 Gostos 3
Troféus totais: 28
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

douroweb se nao te importares manda-me tambem
Offline

douroweb 
Membro
Mensagens 8 Gostos 0
Troféus totais: 15
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 First Post Karma Seventh year Anniversary Sixth year Anniversary

Eu mandava o link para aqui, mas a ultima vez que o fiz o admin do fórum apagou o meu tópico!

Se for autorizado!

Eu neste momento não tenho permissões para enviar PM.

Aguardo permissão.

Abraço
Offline

Diogo92 
Membro
Mensagens 62 Gostos 0
Feedback +1

Troféus totais: 21
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 4 Level 3 Level 2 Level 1 50 Posts 10 Posts First Post

Duroweb,

Será que me podes enviar por favor para este email: diogo92.apoio.blog(arroba)gmail.com?

Gostava de verificar se os meus sites estão seguros.

Abraço,
Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

:superlol:

Não envies mas é a ninguém...
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Eu mandava o link para aqui, mas a ultima vez que o fiz o admin do fórum apagou o meu tópico!

Se for autorizado!

Eu neste momento não tenho permissões para enviar PM.

Aguardo permissão.

Abraço
Necessitas de pelo menos 10 mensagens no forum (excepto offtopic) para conseguires enviar MPs.
Offline

hpwd 
Membro
Mensagens 17 Gostos 0
Troféus totais: 17
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 10 Posts First Post Karma Avatar

vá lá que foi só 1 site

uma vez hackearam os sites todos da empresa onde trabalho ( foram uns haters quais queres ), foram perto de 40 sites

na altura foi muito mau, foram horas a repor bases de dados e a olhar ás falhas, mas ainda assim clientes importantes perderam conteúdos, e por acaso até reagiram bem.

mas agora olhamos para traz e vemos que foi positivo pois aprendemos a dar mais valor à segurança que dantes não dávamos.
posso-te dizer que as principais falhas não estavam em XSS, raras em SQL Injection.

optamos por aplicar captcha's em todos os sites nos formulários de contacto, só aí metade dos problemas ficaram de lado
depois foi aplicar o InputFilter no PHP, é uma class que filtra os conteúdos que os clientes inserem via backoffice ( filtra xss ) e aí também se resolveram muitos problemas

neste momento está tudo Rock Solid!

para testarem os vossos sites usem o Acunetix Web Vulnerability Scanner, é o software que tenho usado
Offline

Gonçalo Martins 
Membro
Mensagens 229 Gostos 0
Troféus totais: 26
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

Uma boa aplicação é o http://php-ids.org/. Alias a base de dados desenvolvida pela equipa PHPids é a que é utilizada no http://www.modsecurity.org/. No entanto as regras funcionam melhor (segundo os programadores do PHPIds) no software deles devido ao engine de detecção de codigo malicioso.
Citar
What kinds of attacks are detected by the PHPIDS

Currently the PHPIDS detects all sorts of XSS, SQL Injection, header injection, directory traversal, RFE/LFI, DoS and LDAP attacks. Through special conversion algorithms the PHPIDS is even able to detect heavily obfuscated attacks – this covers several charsets like UTF-7, entities of all forms – such as JavaScript Unicode, decimal- and hex-entities as well as comment obfuscation, obfuscation through concatenation, shell code and many other variants.

Furthermore the PHPIDS is able to detect yet unknown attack patterns with the PHPIDS Centrifuge component. This component does in depth string analysis and measurement and detects about 85% to 90% of all tested vectors given a minimum length of 25 characters.
Offline

euluism 
Membro
Mensagens 975 Gostos 0
Feedback +4

Troféus totais: 26
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 500 Posts

vá lá que foi só 1 site

uma vez hackearam os sites todos da empresa onde trabalho ( foram uns haters quais queres ), foram perto de 40 sites

na altura foi muito mau, foram horas a repor bases de dados e a olhar ás falhas, mas ainda assim clientes importantes perderam conteúdos, e por acaso até reagiram bem.

mas agora olhamos para traz e vemos que foi positivo pois aprendemos a dar mais valor à segurança que dantes não dávamos.
posso-te dizer que as principais falhas não estavam em XSS, raras em SQL Injection.

optamos por aplicar captcha's em todos os sites nos formulários de contacto, só aí metade dos problemas ficaram de lado
depois foi aplicar o InputFilter no PHP, é uma class que filtra os conteúdos que os clientes inserem via backoffice ( filtra xss ) e aí também se resolveram muitos problemas

neste momento está tudo Rock Solid!

para testarem os vossos sites usem o Acunetix Web Vulnerability Scanner, é o software que tenho usado

Esse site usa um theme free no blog Lol

http://www.acunetix.com/blog/category/events/

Offline

hpwd 
Membro
Mensagens 17 Gostos 0
Troféus totais: 17
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 10 Posts First Post Karma Avatar

Offline

Luís Salvador 
Membro
Mensagens 2068 Gostos 37
Feedback +4

Troféus totais: 28
Trófeus: (Ver todos)
Apple User Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

Exacto, para não falar que está bastante modificado até...